Campanha maliciosa compromete 10 pacotes NPM para roubar variáveis de ambiente

Na última quarta-feira, dez pacotes NPM foram atualizados repentinamente com código malicioso, visando roubar variáveis de ambiente e dados sensíveis dos sistemas dos desenvolvedores.

As variáveis de ambiente podem conter informações cruciais, como chaves de API, credenciais de banco de dados, credenciais de nuvem e chaves de criptografia.

A campanha afetou vários pacotes relacionados a moedas digitais, incluindo o popular “country-currency-map”.

Pesquisadores acreditam que o ataque tenha sido realizado por meio de credential stuffing, uma técnica onde atacantes utilizam nomes de usuário e senhas vazados em brechas anteriores para acessar contas em outros sites.

O mantenedor do pacote country-currency-map descontinuou a versão maliciosa (2.1.8) e recomendou que os desenvolvedores utilizem a versão 2.1.7, que é segura. Os repositórios correspondentes no GitHub dos pacotes comprometidos não foram atualizados com o malware.

Os nomes dos pacotes, versões comprometidas e o número de downloads da versão maliciosa são:

• country-currency-map: versão 2.1.8, 288 downloads
• @keepkey/device-protocol: versão 7.13.3, 56 downloads
• bnb-javascript-sdk-nobroadcast: versão 2.16.16, 61 downloads
• @bithighlander/bitcoin-cash-js-lib: versão 5.2.2, 61 downloads
• eslint-config-travix: versão 6.3.1, 0 downloads
• babel-preset-travix: versão 1.2.1, 0 downloads
• @travix/ui-themes: versão 1.1.5, 0 downloads
• @veniceswap/uikit: versão 0.65.34, 0 downloads
• @crosswise-finance1/sdk-v2: versão 0.1.21, 0 downloads
• @veniceswap/eslint-config-pancake: versão 1.6.2, 0 downloads